ファイナンス、情報通信技術、法律のスキル・アグリゲーション・サイト

情報セキュリティ・キーワード 2016 ⑧ 多層防御編

従来の 境界防御 (Perimeter Defense)は、ファイアウォールによってネットワークの境界を作り、内部と外部を明確に区別することで、外部から内部に攻撃者が侵入することを防ぎます。さらに、 多重境界防御 は、 ファイアウォールのほか、IPS、IDS、ウイルス対策ゲートウェイなど、ネットワークの境界で複数の様々な対策を行います。

ところが、最近の標的型攻撃、特に APT 攻撃(Advanced Persistent Threat)への対応は難しく、そこで 多層防御 (Defense in depth、縦深防御)が注目されています。入口対策、内部対策、出口対策、といった多段階のセキュリティ対策を組み合わせます。

1.多層防御

多層防御 において、 入口対策 は、攻撃の侵入を防ぐ対策です。 内部対策 は、組織内で活動をしている痕跡を見つけて対策を行います。 出口対策 は、侵入後に情報を持ち出されるなどの被害の発生を防ぐ対策です。

ファイアウォール (Firewall)は、送られてくるパケットの情報から接続を許可するか判断し、不正なアクセスであると判断した際には、管理者に通報できるよう設計されています。

パケットフィルタリング は、パケットのヘッダを解析して、通過させるかどうか判断します。

スタティックなパケットフィルタ は、IP 通信において、あらかじめ設定した条件によって、宛先や送信元の IP アドレス、ポート番号などを監視し、その通信を受け入れ(ACCEPT)、廃棄(DROP)、拒否(REJECT)などの動作で通信を制御します。

ダイナミックなパケットフィルタ は、宛先および送信元の IP アドレスやポート番号などの接続・遮断条件を、IP パケットの内容に応じて動的に変化させて通信制御を行う方式です。

ステートフルインスペクション (Stateful Packet Inspection、SPI)は、レイヤ3の IP パケットが、どのレイヤ4(TCP/UDP)セッションによるものであるか判断して、正当な手順の TCP/UDP セッションによるものとは判断できないような不正なパケットを拒否します。

サーキットレベルゲートウェイ は、レイヤ3の IP パケットではなく、TCP/IP などのレイヤ4のレベルで通信を代替し、制御します。SOCKS や レイヤ 4 スイッチにこの機能を持たせることができます。

アプリケーションレベルゲートウェイ は、パケットではなく、レイヤ7の HTTP や ファイル転送プロトコルの FTP といった、アプリケーションプロトコルのレベルで外部との通信を代替し、制御します。

DMZ (DeMilitarized Zone:非武装地帯)は、インターネットに接続されたネットワークにおいて、ファイアウォールによって外部ネットワーク(インターネット)からも内部ネットワーク(組織内のネットワーク)からも隔離された区域です。

アンチウイルスソフトウェア (Anti-Virus Software)は、コンピュータウイルスを検出・除去するためのソフトウェアです。ウイルス対策ソフトウェア、アンチウイルス(ソフト)、ワクチン(ソフト)、などのようにも呼ばれます。コンピュータ内部でやり取りされるデータとパターンファイル(あるいは、定義ファイルやシグネチャなど)を比較し、ウイルスを検出します。

DLP (Data Loss Prevention:情報漏洩対策)は、企業の情報システムなどで、機密情報・データの紛失や外部への漏洩を防止・阻止するための装置やソフトウェア、システム、仕組みなどのことです。

SIEM (Security Information and Event Management:セキュリティ情報イベント管理)は、様々な機器やソフトウェアの動作状況の記録(ログ)を一元的に蓄積・管理し、保安上の脅威となる事象をいち早く検知・分析するものです。

UTM (Unified Threat Management:統合脅威管理)は、次世代ファイアーウォールとも呼ばれ、従来のファイアーウォールが外部からの攻撃に対して防御するのに対して、UTM はインターネットとの接続に関連する複数のセキュリティ機能を統合的に提供します。 UTM は内部から外部に対しての通信も監視しています。

IDS (Intrusion Detection System:侵入検知システム)は、ネットワークを流れるパケットを監視して、不正アクセスと思われるパケットを発見したときにアラームを表示するとともに、当該通信記録を収集し保存します。IDS による不正アクセス検知の方式には、シグネチャベースの侵入検知と統計ベースの侵入検知があります。

IPS (Intrusion Prevention System:侵入防止システム)は、サーバやネットワークの外部との通信を監視し、侵入の試みなど不正なアクセスを検知すると、記録をとって管理者に知らせ、アクセスを遮断するなどの防御措置によって攻撃を未然に防ぎます。主に、ネットワーク型 IPS(Network-based IPS:NIPS)とホスト型 IPS(Host-based IPS:HIPS)があります。

ネットワーク型 IPS は、ネットワーク境界などに設置され、内外の通信をリアルタイムに監視します。不正の兆しのある通信を発見すると記録をとって管理者に知らせ、当該アドレスからのアクセスを遮断するなどの防御措置を発動します。

ホスト型 IPS は、サーバに常駐して動作するソフトウェアで、そのサーバと他のコンピュータの通信を監視します。攻撃を検知して通信を遮断するほか、ソフトウェアの脆弱性や異常動作を悪用した攻撃を OS レベルで防いだり、管理者権限の取得を禁止したり、アクセスログの改ざんを防いだりします。

シグネチャ検知(不正検出) 方式は、既知の攻撃手法について特徴的なパターンを登録したデータベースを用いて、パターンに一致するデータを含むパケットが見つかると攻撃の徴候として検出する手法です。

アノマリ検知(異常検出) 方式は、通常とは大きく異なる事態やありえない行動などから検知する手法です。

2.インシデントレスポンス

インシデントレスポンス は、情報セキュリティを脅かす事象(インシデント)への対応を行うことです。

情報セキュリティにおけるインシデントは、コンピューターやネットワークのセキュリティを脅かす事象、すなわち、ウィルス感染や不正アクセス、不正侵入、データの改ざん、情報漏えいなどをいいます。

CSIRT (Computer Security Incident Response Team、シーサート)は、インシデントレスポンスを行う専門組織の総称です。

コンピューターやネットワークのセキュリティを脅かす事象(インシデント)に関する報告を受け取り、調査し、対応活動を行う組織のことで、インシデント対応を定常的に専業で行う場合と、インシデントが起きた際に組織が結成される場合があります。

3.ディジタルフォレンジックス

フォレンジック(forensic)は、犯罪捜査等に用いられる言葉で、「法廷の~」もしくは「法医学の~」を意味します。

ディジタルフォレンジックス (Digital Forensics)は、不正アクセスや機密情報漏洩などコンピュータやネットワークに関する犯罪や法的紛争が生じた際に、原因究明や捜査に必要な機器やデータ、電子的記録を収集・分析し、その法的な証拠性を明らかにする手段や技術の総称のことです。

ディジタルフォレンジックスは、コンピュータのハードディスク内などに存在するデータを調査する コンピュータフォレンジックス (Computer Forensics)と、ネットワークを流れるすべての通信データを取得して調査を行う ネットワークフォレンジックス (Network Forensics)に分けることができます。

コンピュータフォレンジクス (Computer Forensics)では、ハードディスクを信頼できる技術でコピーし、解析用のハードディスクを作り、そのコンピュータで行われた操作を洗い出して、このコンピュータが犯罪に関わったということを証明します。

ディスクに関するフォレンジクスには、削除されたファイルの回復(Recovery of deleted files)などがあります。

メモリフォレンジクスは、揮発性のデータを解析します。また、動作システムの中からのコンピュータの調査を行う「ライブ解析技法」などがあります。

ネットワークフォレンジックス (Network Forensics)では、ネットワークを流れるすべての通信データを取得して調査を行います。パケットの収集と保管、ネットワーク監視状況、サービス稼働状態、トラフィック量や遅延、そして経路、などの調査を行います。

4.事業継続計画

事業継続計画 (Business Continuity Plan:BCP)は、大規模災害などの非常事態に、企業が業務中断に伴うリスクを最低限に抑えつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のことです。

事業継続マネジメント (Business Continuity Management:BCM)は、事業継続計画を作成し、教育・訓練、そして計画の改善などを継続して行うことてす。

業務影響分析 (Business Impact Analysis:BIA)は、企業にとって重要な事業について、業務の中断による事業への影響、業務の継続(復旧)優先順位、業務の目標復旧時間(または復旧レベル)、業務に必要なリソース、などについて分析します。

コンティンジェンシープラン (Contingency Plan:CP)は、事故や災害など非常事態が発生した場合に備えて、発生直後からの緊急時対応策や初動手順をまとめた計画です。緊急時対応計画ともいわれます。

災害復旧計画 (Disaster Recovery Plan:DRP)は、災害の発生を前提とした災害発生後の復旧計画です。

緊急事態行動計画 (Emergency Measures Plan:EMP)は、災害発生時における組織や行動と、災害に備える体制を定める計画です。

5.情報処理技術試験の過去問題

試験問題の全文は、https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_mondai.html をご覧ください。


平成27年度秋期SC試験午前Ⅱ問題
問 3 ステートフルインスベクション方式のファイアウォールの特徴はどれか。

  • ア Web ブラウザと Web サーパとの間に配置され, リバースプロキシサ一パとして動作する方式であり, Web プラウザから Web サーパヘの通信に不正なデータがないかどうかを検査する。
  • イ アプリケーションプロトコルごとにプロキシプログラムを用意する方式であり,クライアントからの通信を目的のサーバに中継する際に, 不正なデータがないかどうかを検査する。
  • ウ 特定のアプリケーションプロトコルだけを通過させるゲートウェイソフトウェアを利用する方式であリ, クライアントからのコネクションの要求を受け付けて, 目的のサーパに改めてコネクションを要求することによって, アクセスを制御する。
  • エ パケットフィルタリングを拡張した方式であり, 過去に通過したパケットから通信セッションを認識し, 受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断させるかを判断する。

正解 エ


平成25年度春期SC試験午前Ⅱ問題 問 8
平成26年度秋期SC試験午前Ⅱ問題
問 6 CSIRT の説明として, 適切なものはどれか。

  • ア IP アドレスの割当て方針の決定 DNS ルートサーバの運用監視, DNS 管理に関する調整などを世界規模で行う組織である。
  • イ イン夕ーネットに関する技術文書を作成し, 標準化のための検討を行う組織である。
  • ウ 企業・組織内や政府機関に設され, コンピュータセキュリティインシデン卜に関する報告を受け取り, 調査し, 対応活動を行う組織の総称である。
  • エ 情報技術を利用し, 宗教的又は政治的な目標を達成するという目的をもった人や組織の総称である。

正解 ウ


平成26年度秋期SC試験午前Ⅱ問題
問14 ディジ夕ルフォレンジックスを説明したものはどれか。

  • ア 画像や音楽などのディジタルコンテンツに著作権者などの情報を埋め込む。
  • イ コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり, システムを実際に攻撃して侵入を試みる。
  • ウ ネットワークの管理者や利用者などから, 巧みな話術や盗み聞き, 盗み見などの手段によって, パスワードなどのセキュリティ上重要な情報を入手する。
  • エ 犯罪に対する証拠となり得るデータを保全し, その後の訴訟などに備える。

正解 エ


平成24年度秋期SC試験午前Ⅱ問題 問 6
平成26年度春期SC試験午前Ⅱ問題
問 6 ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。

  • ア IP アドレスの変換が行われるので, ファイアウォール内部のネットワーク構成を外部から隠蔽できる。
  • イ 暗号化されたバケットのデータ部を復号して, 許可された通信かどうかを判断できる。
  • ウ バケットのデータ部をチェックして, アプリケーション層での不正なアクセスを防止できる。
  • エ 戻りのパケットに関しては, 過去に通過したリクエストパケットに対応付けられるものだけを通過させることができる。

正解 エ


平成22年度秋期SC試験午前Ⅱ問題 問 7
平成24年度春期SC試験午前Ⅱ問題 問 7
平成26年度春期SC試験午前Ⅱ問題
問 9 自ネットワークのホス卜ヘの侵入を, ファイアウォールにおいて防止する対策のうち, IPスプーフィング (spoofing) 攻撃の対策について述ベたものはどれか。

  • ア 外部から入る TCP コネクション確立要求パケットのうち, 外部へのインターネットサービスの提供に必要なもの以外を破棄する。
  • イ 外部から入る UDP バケットのうち, 外部へのインターネットサービスの提供や利用したいインターネッ卜サービスに必要なもの以外を破棄する。
  • ウ 外部から入るパケットの宛先 IP アドレスが, インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば, そのパケットを破棄する。
  • エ 外部から入るパケットの送信元 IP アドレスが自ネットワークのものであれば, そのバケットを破棄する。

正解 エ


平成21年度秋期SC試験午前Ⅱ問題 問 9
平成26年度春期共通試験午前Ⅰ問題
問14 ディジタルフォレンジックスの説明として, 適切なものはどれか。

  • ア あらかじめ設定した運用基準に従って, メールサーバを通過する送受信メールをフィルタリングすること
  • イ サーバに対する外部からの攻撃や不正なアクセスを防御すること
  • ウ 磁気ディスクなどの書換え可能な記憶媒体を単に初期化するだけではデータを復元できる可能性があるので, 任意のデータ列で上書きすること
  • エ 不正アクセスなどコンピュー夕に関する犯罪の法的な証拠性を確保できるように, 原因究明に必要な情報の保全, 収集, 分析をすること

正解 エ


平成22年度春期SC試験午前Ⅱ問題 問11
平成24年度春期SC試験午前Ⅱ問題 問10
平成25年度秋期SC試験午前Ⅱ問題
問 8 DMZ 上のコンピュータがイン夕ーネットからの ping に応答しないようにファイアウォールのルールを定めるとき, “通過禁止" に設定するものはどれか。

  • ア ICMP
  • イ TCP 及び UDP のポート番号 53
  • ウ TCP のポート番号 21
  • エ UDPのポート番号 123

正解 ア


平成25年度秋期SC試験午前Ⅱ問題
問10 利用者 PC がボットに感染しているかどうかを hosts ファイルで確認するとき, 設定内容が改ざんされていないと判断できるものはどれか。ここで, hosts ファイルには設定内容が 1 行だけ書かれているものとする。

設定内容説明
127.0.0.1 a.b.com a.b.com は OS 提供元の FQDN を示す。
127.0.0.1 c.d.com c.d.com は PC 製造元の FQDN を示す。
127.0.0.1 e.f.com e.f.com はウイルス定義ファイルの提供元の FQDN を示す。
127.0.0.1 localhost localhost は利用者 PC 自身を示す。

正解 エ


平成21年度秋期SC試験午前Ⅱ問題 問11
平成23年度秋期共通試験午前Ⅰ問題 問15
平成25年度春期共通試験午前Ⅰ問題
問15 パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて, 本来必要なサービスに影響を及ぼすことなく防げるものはどれか。

  • ア 外部に公開しないサービスヘのアクセス
  • イ サーバで動作するソフトウェアの脆弱性を突く攻撃
  • ウ 電子メールに添付されたファイルに含まれるマクロウイルスの侵入
  • エ 電子メール爆弾などの DoS 攻撃

正解 ア


平成24年度秋期SC試験午前Ⅱ問題
問12 ディジタルフォレンジックスを説明したものはどれか。

  • ア 画像や音楽などのディジタルコンテンツに著作権者などの情報を埋め込む。
  • イ コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり, システムを実際に攻撃して侵入を試みる。
  • ウ ネットワークの管理者や利用者などから, 巧みな話術や盗み聞き, 盗み見などの手段によって, パスワードなどのセキュリティ上重要な情報を入手する。
  • エ 犯罪に対する証拠となり得るデータを保全し, その後の訴訟などに備える。

正解 エ


平成21年度秋期SC試験午前Ⅱ問題 問 4
平成24年度春期SC試験午前Ⅱ問題
問 5 コンティンジェンシープランにおける留意点はどれか。

  • ア 企業の全てのシステムを対象とするのではなく, システムの復旧の重要性と緊急性を勘案して対象を決定する。
  • イ 災害などヘの対応のために, すぐに使用できるよう, バックアップデータをコンピュータ室内又はセンタ内に保存しておく。
  • ウ バックアップの対象は, 機密情報の中から機密度を勘案して選択する。
  • エ 被害のシナリオを作成し, これに基づく “予防策策定手順” を策定する。

正解 ア


平成23年度特別SC試験午前Ⅱ問題
問10 ウイルスの調査手法に関する記述のうち, 適切なものはどれか。

  • ア 逆アセンブルは, バイナリコードの新種ウイルスの動作を解明するのに有効な手法である。
  • イ パターンマッチングでウイルスを検知する方式は, 暗号化された文書中のマクロウイルスの動作を解明するのに有効な手法である。
  • ウ ファイルのハッシュ値を基にウイルスを検知する方式は, ウイルスのハッシュ値からどのウイルスの亜種かを特定するのに確実な手法である。
  • エ 不正な動作からウイルスを検知する方式は, ウイルス名を特定するのに確実な手法である。

正解 ア


平成23年度特別SC試験午前Ⅱ問題
問12 自社の中継用メールサーバのログのうち, 外部ネットワークからの第三者中継と判断できるものはどれか。ここで, AAA.168.1.5 と AAA.168.1.10 は自社のグローバル IP アドレスとし, BBB.45.67.89 と BBB.45.67.90 は社外のグローパル IP アドレスとする。

a.b.c は自社のドメイン名とし, a.b.d と a.b.e は他社のドメイン名とする。また, IP アドレスとドメイン名は詐称されていないものとする。

接続元 IP アドレス 送信者のドメイン名 受信者のドメイン名
AAA.168.1.5 a.b.c a.b.d
AAA.168.1.10 a.b.c a.b.c
BBB.45.67.89 a.b.d a.b.e
BBB.45.67.90 a.b.d a.b.c

正解 ウ


平成21年度春期SC試験午前Ⅱ問題 問 9
平成22年度秋期SC試験午前Ⅱ問題
問 6 DMZ 上に公開している Web サーバで入力データを受け付け, 内部ネットワークの DB サーバにそのデータを蓄積するシステムがある。インターネッ卜から DMZ を経由してなされる DB サーパヘの不正侵入対策のーつとして, DMZ と内部ネッ卜ワークとの間にファイアウォールを設置するとき, 最も有効な設定はどれか。

  • ア DB サーバの受信ポート番号を固定し, Web サーバから DB サーバの受信ポート番号への通信だけをファイアウォールで通す。
  • イ DMZ からDB サーバヘの通信だけをファイアウォールで通す。
  • ウ Web サーバの発信ポート番号は任意のポート番号を使用し, ファイアウォールでは, いったん終了した通信と同じ発信ポート番号を使った通信を拒否する。
  • エ Web サーバの発信ポート番号を固定し, その発信ポート番号からの通信だけをファイアウォールで通す。

正解 ア


平成21年度秋期SC試験午前Ⅱ問題
問 6 NIDS (ネットワーク型 IDS) を導入する目的はどれか。

  • ア 管理下のネットワーク内ヘの不正侵入の試みを検知し, 管理者に通知する。
  • イ サーバ上のファイルが改ざんされたかどうかを判定する。
  • ウ 実際にネットワークを介してサイトを攻撃し, 不正に侵入できるかどうかを検査する。
  • エ ネッ卜ワークからの攻撃が防御できないときの損害の大きさを判定する。

正解 ア

⑧多層防御編を公開しました。

《アーカイブ》 情報セキュリティ試験直前対策メモ2006

第1回 無線LAN編

第2回 VPN編

第3回 暗号化編

(≪補足≫ 暗号・復号の基本フロー

第4回 認証編

第5回 PKI編

第6回 セキュリティプロトコル編

第7回 サーバセキュリティ編

第8回 脅威の実態編

第9回 アクセス監視編

最終回 規格編

『人間がつながったことが、インターネットのいちばん大きな意義だ。 … あきらめなくなくてもすむ社会にしたい。 … その足場の台が、インターネットの役割だ。』(序章より)

角川インターネット講座1 インターネットの基礎 情報革命を支えるインフラストラクチャー (角川学芸出版全集) amazon.co.jp Kindle本

『インターネットの文化として、実際に動くものを重視するというプラグマティズム(実用主義)の徹底がある。 … インターネットはソフトウェアで動いており、その多くの部分がオープンソースだから …』(序章より)

角川インターネット講座2 ネットを支えるオープンソース ソフトウェアの進化 (角川学芸出版全集) amazon.co.jp Kindle本